(Madrid, 21 de mayo de 2019). La solicitud de copia del contenido de la inscripción de ficheros dejará de estar disponible en la Sede Electrónica de la Agencia el próximo día 15 de junio de 2019.

El Reglamento General de Protección de Datos, en vigor desde el 25 de mayo de 2016 y de aplicación efectiva desde el 25 de mayo de 2018, suprimió la obligación de notificar los ficheros de datos de carácter personal a la autoridad de control para su publicación en el Registro General de Protección de Datos estableciendo, en su lugar, como alternativa a dicha obligación la de que cada responsable y, en su caso el encargado, mantenga su propio registro de actividades de tratamiento.

Transcurrido más de un año desde la aplicación efectiva del Reglamento europeo, período en el que los responsables del tratamiento han tenido disponible el citado trámite de solicitud de copia de inscripción como fuente de información para elaborar el registro de actividades de tratamiento de sus organizaciones, la Agencia Española procederá a deshabilitar el formulario disponible hasta ahora en su Sede Electrónica.

(9 de abril de 2019). La Agencia Española de Protección de Datos (AEPD) ha lanzado una nueva versión de Facilita RGPD, una herramienta gratuita para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

Está planteada como un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa.

A continuación se detallan algunas de las mejoras implementadas en Facilita_RGPD:

Se han desarrollado con mayor detalle las cláusulas de información que se generan para cada uno de los tratamientos realizados por la persona responsable, incluyendo la referencia al derecho a presentar una reclamación ante la Agencia si la persona interesada no ha quedado satisfecha en el ejercicio de sus derechos ante la entidad.
Se facilita el ejercicio de derechos por medios electrónicos al añadir un nuevo campo en el cuestionario de la herramienta que ofrece la posibilidad de incluir un correo electrónico habilitado al efecto para atender las solicitudes de ejercicio de derechos, quedando reflejado este nuevo canal de atención en las cláusulas informativas.
En el caso de tratamiento de datos de la potencial clientela con fines publicitarios, se ha incluido una cláusula en el contrato suscrito con las agencias de marketing -como encargadas- que les obliga a consultar los sistemas de exclusión publicitaria (Lista Robinson) de forma previa a la realización de comunicaciones comerciales.
En el caso de que existan contratos suscritos con empresas de servicios, se ha incorporado una nueva cláusula de confidencialidad para aquellos casos en los que el servicio prestado suponga únicamente un acceso accidental y accesorio a los datos personales, pero sin llegar a tener acceso a los sistemas de información.
Se ha reestructurado el anexo final, separando claramente la información relativa a la atención de las solicitudes de ejercicio de derechos, las medidas de seguridad y el protocolo a seguir en caso de captación de imágenes mediante cámaras de videovigilancia.
Se ha ampliado la información en el apartado de atención de solicitudes de ejercicio de derechos en materia de protección de datos, desarrollando más extensamente la información de cada uno de los derechos e incluyendo un enlace a los formularios publicados en la web de la Agencia.
En cumplimiento del deber de información establecido en el Reglamento General de Protección de Datos y en el artículo 22.4 de la Ley Orgánica 3/2018, se facilita el distintivo informativo de señalización de zona videovigilada ya cumplimentado con los datos de la persona responsable del tratamiento.

La herramienta Facilita_RGPD se lanzó en septiembre de 2017 con la colaboración de CEOE y CEPYME, y durante 2018 más de 150.000 profesionales y empresas obtuvieron sus documentos de apoyo al cumplimiento a través de ella.

La información que las empresas aportan –y que la AEPD no conserva ni monitoriza de forma alguna– les permite obtener esos documentos casi completados. Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento; las cláusulas informativas; las cláusulas que deberían incluirse si la empresa contrata con la persona encargada del tratamiento y un nuevo anexo reestructurado que incluye las directrices para atender las solicitudes de ejercicio de derechos en materia de protección de datos que se reciban de las personas interesadas, las recomendaciones sobre las medidas de seguridad mínimas a implantar en la organización por parte de la persona responsable del tratamiento y los requisitos a seguir para un correcto tratamiento de las imágenes captadas mediante cámaras de videovigilancia.

El cuestionario está dividido en cuatro bloques. En el primero, la organización debe seleccionar cuál es su sector de actividad y el tipo de datos que trata. A continuación, una vez que se constata que los tratamientos que realiza entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de las personas, Facilita_RGPD pedirá a la persona responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o teléfono, entre otros). En el tercer bloque, la aplicación solicitará información sobre los tratamientos que realiza (clientela, personal empleado, currículums de personas candidatas, etc.) Con la información aportada, en la última fase se generarán los documentos mínimos indispensables para facilitar el cumplimiento de la normativa.

No obstante, la persona responsable del tratamiento, en cumplimiento de la responsabilidad proactiva que establece el RGPD, debe revisar la documentación generada y verificar que refleja las circunstancias exactas de los datos recogidos, las comunicaciones realizadas y demás condiciones de cada uno de los tratamientos que realiza, así como las medidas de seguridad, técnicas y organizativas que haya implantado.

(Madrid, 27 de marzo de 2019). La Agencia Española de Protección de Datos (AEPD) ha presentado su Marco de Actuación de Responsabilidad Social 2019-2024 en un acto en el que han participado la Alta Comisionada para la Agenda 2030, Cristina Gallach; la directora general del Trabajo Autónomo, de la Economía Social y de la Responsabilidad Social de las Empresas, Mª Antonia Pérez León, y la directora de la AEPD, Mar España.

El Marco de Actuación de Responsabilidad Social de la AEPD, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, está alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible, y estructura el compromiso de este organismo en cuatro grandes ejes, tanto internos como externos: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. Para llevar a cabo las responsabilidades asumidas, se han identificado 100 acciones: un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas.

Dentro del apartado de Compromiso con la Sociedad, la Agencia ha establecido a su vez tres grandes áreas de trabajo: el fomento de la prevención; la igualdad de género y la innovación y el emprendimiento.

Algunas de las medidas más significativas en el área de prevención son las siguientes:

Colaboración con Ministerio de Educación para elaborar materiales curriculares sobre educación digital y uso responsable de internet, con especial atención a las situaciones de violencia en la Red. En aplicación de la nueva Ley de Protección de Datos, las CCAA tienen de plazo hasta finales de año para incluir formación específica en el uso seguro de los medios digitales en los currículums académicos.
Colaboración con Fiscalía para actuar frente a la difusión de imágenes o información personal de menores en internet
Impulsar protocolos contra el ciberacoso, en colaboración con el Ministerio de Educación
Colaborar con Policía Nacional en cursos sobre privacidad y seguridad

En cuanto a la igualdad de género, dentro de las acciones para combatir la violencia de género en internet, destacan las siguientes:

Impulso de protocolos con el Ministerio del Interior, la Fiscalía y la Delegación de Gobierno para la Violencia de Género, en el marco del Grupo de Trabajo sobre la privacidad de las víctimas de violencia en internet, para que cuando acudan a una comisaría sean informadas de la posibilidad de dirigirse gratuitamente a la Agencia en caso de utilización o difusión de imágenes personales sin consentimiento
La AEPD dará prioridad a este tipo de reclamaciones, además de instar a las grandes empresas proveedoras de servicios de internet a la aprobación de protocolos específicos de actuación. La Agencia pone así a disposición de las mujeres supervivientes a la violencia de género aquellos recursos que, como autoridad pública, tiene legalmente atribuidos y que, movilizados de forma urgente, pueden resultar sumamente eficaces, dado que en determinadas situaciones -como el acceso y la divulgación sin consentimiento de información sensible, fotografías o vídeos de carácter íntimo; la vigilancia y monitorización online, o las conductas de sextorsión o el acoso sexual en línea-, los daños infligidos a la persona son mucho mayores cuando se difunden por internet
Colaboración con el Ministerio de Educación y la Delegación de Gobierno para la Violencia de Género en la elaboración de materiales curriculares que ayuden a la prevención, detección y erradicación de este tipo de violencia en el entorno escolar

Para potenciar la innovación y el emprendimiento a la hora de crear productos y servicios compatibles con los derechos de las personas y, en consecuencia, sostenibles, la Agencia va a contribuir a la realización de encuentros y seminarios donde se reúnan emprendedores. Por otro lado, además de alinear con la Agenda 2030 los premios que anualmente concede la Agencia, la AEPD va lanzar una nueva categoría en la que se van a reconocer proyectos y actuaciones innovadoras y respetuosas con la privacidad en el marco de las iniciativas empresariales noveles y las startups. El premio tendrá la denominación “Ángela Ruiz Robles”, precursora española del libro electrónico.

De otra parte, el Marco de Actuación recoge una apuesta firme por una política de cumplimiento ( compliance)basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público. Ello se va a traducir en la aprobación de un Código Ético y de Conducta para los empleados y directivos de la Agencia, y la implantación de un canal de denuncias anónimo, siempre con las debidas garantías en su aplicación.

En cuanto al compromiso con los empleados, cabe mencionar:

La aprobación del plan de igualdad de la Agencia, que incluye un protocolo para la prevención del acoso laboral y sexual y ayudas a empleadas supervivientes a la violencia de género
En temas de conciliación, se contempla seguir promoviendo el teletrabajo (actualmente se ha superado el 50%) y diversas iniciativas para ampliar las opciones de conciliación con la vida familiar y personal

Por último, en el apartado de medioambiente, la Agencia se compromete a seguir profundizando en las medidas internas orientadas a la promoción de políticas de reciclado, el impulso de acciones de movilidad sostenible para empleados, el uso responsable del papel y una evaluación sobre el uso eficiente de los recursos energéticos de la Agencia.

La AEPD ha habilitado en su página web un espacio con toda la información relativa al Plan de Responsabilidad Social, incorporando un buzón para poder remitir opiniones, sugerencias y nuevas propuestas de actuación durante los próximos 15 días para su eventual incorporación al mismo. En esa sección, además del Marco global de actuación, es posible consultar de forma sistematizada las 100 actuaciones que la Agencia se compromete a impulsar en los próximos cinco años para cumplir con la Agenda 2030 y los Objetivos de Desarrollo Sostenible. El documento ha sido configurado de forma que puedan incorporarse nuevas actuaciones o adaptar las previstas en función del diagnóstico realizado.

(Madrid, 11 de marzo de 2019). El Boletín Oficial del Estado ha publicado 

la Circular

 de la Agencia Española de Protección de Datos (AEPD) sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores. La Circular, que da continuidad al 

informe

 que la Agencia publicó el pasado diciembre, está compuesta por una parte expositiva, once artículos, una disposición transitoria y una disposición final.

El texto fija los criterios conforme a los que va a actuar la Agencia en la aplicación de la normativa de protección de datos respecto al tratamiento relativo a opiniones políticas por los partidos al amparo del artículo 58 bis de la LOREG, con el marco del Reglamento General de Protección de Datos (RGPD) y conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales, como el derecho a la protección de datos de carácter personal reconocido en el artículo 18.4, el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20 o el derecho a la participación política del artículo 23. En consecuencia, la AEPD mantiene en la Circular su interpretación restrictiva de la modificación de la LOREG.

La Circular se publica una vez finalizado el trámite de audiencia en el que la Agencia ha recabado la opinión de los interesados tras la aprobación de la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) que añade el artículo 58 bis.

La Memoria de Análisis de Impacto Normativo

recoge un resumen de las aportaciones realizadas. 

El texto mantiene en su artículo 5 que sólo podrán recopilarse las opiniones políticas que hayan sido libremente expresadas por ellas mismas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución Española y que, en ningún caso, podrán tratarse otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona. Las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son las webs y otras fuentes que sean de acceso público, entendiendo como tales aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas las fuentes en las que el acceso esté restringido a un círculo determinado de personas.

La Circular mantiene las garantías definidas en el borrador sometido a trámite de audiencia, añadiendo plazos concretos, fijando obligaciones adicionales respecto al deber de información y el derecho de oposición, y limitando la legitimación de aquellos que quieran ampararse en el 58 bis para tratar datos. Así, dada la tipología de los datos que se tratarían y que existe un alto riesgo para los derechos y libertades de las personas, la Circular establece, entre otras garantías, la obligación de consultar a la AEPD antes de proceder al tratamiento a no ser que el responsable justifique que ha adoptado medidas para mitigar los riesgos. En ese caso, deberá remitir a la AEPD el análisis de riesgos y la evaluación de impacto realizada junto a la justificación de las medidas adoptadas. La solicitud de consulta a la AEPD o, en su defecto, la remisión de esa documentación deberá realizarse al menos 14 semanas antes del inicio del periodo electoral.

No obstante, al no ser posible cumplir dicho plazo respecto a los procesos electorales del 28 de abril y de 26 de mayo de 2019, se ha introducido una disposición transitoria que fija el plazo en tres semanas antes del comienzo de la campaña electoral. La fijación de estos plazos contribuye a la seguridad jurídica y a que la AEPD pueda ejercitar sus competencias con la antelación suficiente.

En cuanto al deber de información, deberá realizarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. En caso de que se considere que la comunicación individual de la información a los afectados supone un esfuerzo desproporcionado, se ha incluido, además de la obligación de facilitar dicha información en la web del responsable, la de hacerlo en las cuentas que este tenga en redes sociales y servicios equivalentes para cumplir con el principio de transparencia del RGPD.

En caso de ejercitar el derecho de oposición, la Circular recoge la obligación de que los datos dejen de ser tratados para el envío de propaganda electoral mientras el afectado no preste su consentimiento expreso.

Por último, el texto limita la legitimación a los partidos políticos, federaciones, coaliciones y agrupaciones electorales, en el ámbito de la circunscripción correspondiente al proceso electoral en la que se presenten, a la circunstancia de que resulten proclamados. En caso contrario, al no participar en el procedimiento electoral, perderían la legitimación para el tratamiento de los datos y deberán cesar inmediatamente el tratamiento de dichos datos y proceder a su destrucción, salvo que proceda la obligación de bloqueo.

La entrada en vigor de esta Circular se fija al día siguiente de su publicación en el Boletín Oficial del Estado, dada la urgencia en clarificar los criterios interpretativos ante los acontecimientos electorales de abril y mayo de este año. Las garantías detalladas en la misma se establecen sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias, como la Junta Electoral Central, el Tribunal de Cuentas, el Ministerio del Interior y, en último término, el Tribunal Constitucional. En este sentido, el Defensor del Pueblo ha presentado una demanda de recurso de inconstitucionalidad contra el artículo 58 bis 1 de la LOREG.